時代は Kubernetes ですが、Docker Swarm mode を再調査していみます。
Swarm mode については 1.12 での登場時に調査した(Docker 1.12 の衝撃 [slideshare])際にまだちょっと使うには早いなということで見送ってそれ以降ほとんど調査していませんでした。
サーバーの準備
DigitalOcean で Docker インストール済みの Ubuntu を3台用意します。
for i in $(seq 3); do
doctl compute droplet create swarm${i} \
--image docker-16-04 \
--region sgp1 \
--size s-2vcpu-4gb \
--ssh-keys 16797382 \
--enable-private-networking \
--enable-monitoring \
--user-data-file userdata.sh
done
root@swarm1:~# ufw status verbose Status: active Logging: on (low) Default: deny (incoming), allow (outgoing), allow (routed) New profiles: skip To Action From -- ------ ---- 22 LIMIT IN Anywhere 2375/tcp ALLOW IN Anywhere 2376/tcp ALLOW IN Anywhere 22 (v6) LIMIT IN Anywhere (v6) 2375/tcp (v6) ALLOW IN Anywhere (v6) 2376/tcp (v6) ALLOW IN Anywhere (v6)
クラスタ管理用の通信で 2377/tcp を、ノード間通信で 7946/tcp, 7946/udp を、オーバーレイ・ネットワークで 4789/udp が使われるため ufw で firewall 設定を行います。
今回使ったイメージでは 2375/tcp, 2376/tcp が全開になっている(でも TCP の docker socket は使わないから開いてても大丈夫かな)のでこれを閉じて、上記のポートを eth1 でだけ開けます(DigitalOcean の eth1 は Private Network ですが、自分のアカウントに閉じられたネットワークではないため注意が必要)。
ufw delete allow 2375/tcp ufw delete allow 2376/tcp ufw allow in on eth1 from any port 2375 proto tcp ufw allow in on eth1 from any port 2376 proto tcp ufw allow in on eth1 from any port 2377 proto tcp ufw allow in on eth1 from any port 7946 proto tcp ufw allow in on eth1 from any port 7946 proto udp ufw allow in on eth1 from any port 4789 proto udp
overlay network 作成時に --opt encrypte をつけて通信の暗号化を有効にした場合は追加で ESP プロトコルも通るようにする必要があります。
ufw allow from any proto esp
(doctl compute ssh NAME で便利に ssh できるはずなんだけど Windows では winpty が必要でこれが ANSI エスケープシーケンスの扱いが良くなくて使いものにならないのが残念だ)
Swarm クラスタの作成
まず、docker swarm init コマンドで初期化します
eth1 だけを listen するように次のようにしました
docker swarm init \
--advertise-addr $(ip a s eth1 | grep 'inet ' | awk '{print $2}' | sed 's/\/.*//') \
--listen-addr $(ip a s eth1 | grep 'inet ' | awk '{print $2}' | sed 's/\/.*//')
root@swarm1:~# docker swarm init \
> --advertise-addr $(ip a s eth1 | grep 'inet ' | awk '{print $2}' | sed 's/\/.*//') \
> --listen-addr $(ip a s eth1 | grep 'inet ' | awk '{print $2}' | sed 's/\/.*//')
Swarm initialized: current node (asqtfpeef1ur58dijnnykuwuk) is now a manager.
To add a worker to this swarm, run the following command:
docker swarm join --token SWMTKN-1-49x7ir3ihge066dretzivcu2gmdbwtys7v6h1yvybx784e5g5v-734ruykh451rsguxdjfhonuxn 10.130.27.207:2377
To add a manager to this swarm, run 'docker swarm join-token manager' and follow the instructions.
root@swarm1:~#
swarm init のオプション一覧は次のようになっています
Usage: docker swarm init [OPTIONS]
Initialize a swarm
Options:
--advertise-addr string Advertised address (format: [:port])
--autolock Enable manager autolocking (requiring an unlock key
to start a stopped manager)
--availability string Availability of the node ("active"|"pause"|"drain")
(default "active")
--cert-expiry duration Validity period for node certificates
(ns|us|ms|s|m|h) (default 2160h0m0s)
--data-path-addr string Address or interface to use for data path traffic
(format: )
--dispatcher-heartbeat duration Dispatcher heartbeat period (ns|us|ms|s|m|h) (default 5s)
--external-ca external-ca Specifications of one or more certificate signing
endpoints
--force-new-cluster Force create a new cluster from current state
--listen-addr node-addr Listen address (format: [:port])
(default 0.0.0.0:2377)
--max-snapshots uint Number of additional Raft snapshots to retain
--snapshot-interval uint Number of log entries between Raft snapshots (default
10000)
--task-history-limit int Task history retention limit (default 5)
--cert-expiry のデフォルト 2160h0m0s は90日
worker node の join
docker swarm init で出力されたコマンドを使って worker node として swarm クラスタに参加させられます。init の時と同じように --advertise-addr, --listen-addr
root@swarm2:~# docker swarm join \
> --token SWMTKN-1-4h3mm7ekejoqq9vg4axaba8rdu3cisgck84feon7mqmh3kmf2a-3rus2x8h6p3rvti4r27by5wbt \
> --advertise-addr $(ip a s eth1 | grep 'inet ' | awk '{print $2}' | sed 's/\/.*//') \
> --listen-addr $(ip a s eth1 | grep 'inet ' | awk '{print $2}' | sed 's/\/.*//') \
> 10.130.71.24:2377
This node joined a swarm as a worker.
root@swarm2:~#
root@swarm1:~# docker node ls ID HOSTNAME STATUS AVAILABILITY MANAGER STATUS bj8muio9ov1wkkxg7ts1lqozc * swarm1 Ready Active Leader vywjboq8e8pk1buntrulod9fu swarm2 Ready Active r55jic8bg1giuljuv9901lic1 swarm3 Ready Active root@swarm1:~#
root@swarm1:~# docker info | grep -A 5 ^Swarm Swarm: active NodeID: bj8muio9ov1wkkxg7ts1lqozc Is Manager: true ClusterID: udczyrb1xk8pvmehncli8y5o7 Managers: 1 Nodes: 3 root@swarm1:~#
manager ノードを増やすには docker node promote NODE-ANME とします
root@swarm1:~# docker node promote swarm2 swarm3 Node swarm2 promoted to a manager in the swarm. Node swarm3 promoted to a manager in the swarm. root@swarm1:~#
root@swarm1:~# docker node ls ID HOSTNAME STATUS AVAILABILITY MANAGER STATUS bj8muio9ov1wkkxg7ts1lqozc * swarm1 Ready Active Leader vywjboq8e8pk1buntrulod9fu swarm2 Ready Active Reachable r55jic8bg1giuljuv9901lic1 swarm3 Ready Active Reachable root@swarm1:~#
MANAGER STATUS が Reachable に変わりました
root@swarm1:~# docker info | grep -A 5 ^Swarm Swarm: active NodeID: bj8muio9ov1wkkxg7ts1lqozc Is Manager: true ClusterID: udczyrb1xk8pvmehncli8y5o7 Managers: 3 Nodes: 3 root@swarm1:~#
Managers が 3 に増えました
node を増やすための token は忘れても docker swarm join-token {worker|manager} コマンドで確認することができます
Service の作成
Usage: docker service create [OPTIONS] IMAGE [COMMAND] [ARG...]
Create a new service
Options:
--config config Specify configurations to expose to the service
--constraint list Placement constraints
--container-label list Container labels
--credential-spec credential-spec Credential spec for managed service account
(Windows only)
-d, --detach Exit immediately instead of waiting for the
service to converge
--dns list Set custom DNS servers
--dns-option list Set DNS options
--dns-search list Set custom DNS search domains
--endpoint-mode string Endpoint mode (vip or dnsrr) (default "vip")
--entrypoint command Overwrite the default ENTRYPOINT of the image
-e, --env list Set environment variables
--env-file list Read in a file of environment variables
--generic-resource list User defined resources
--group list Set one or more supplementary user groups for the
container
--health-cmd string Command to run to check health
--health-interval duration Time between running the check (ms|s|m|h)
--health-retries int Consecutive failures needed to report unhealthy
--health-start-period duration Start period for the container to initialize
before counting retries towards unstable (ms|s|m|h)
--health-timeout duration Maximum time to allow one check to run (ms|s|m|h)
--host list Set one or more custom host-to-IP mappings (host:ip)
--hostname string Container hostname
--isolation string Service container isolation mode
-l, --label list Service labels
--limit-cpu decimal Limit CPUs
--limit-memory bytes Limit Memory
--log-driver string Logging driver for service
--log-opt list Logging driver options
--mode string Service mode (replicated or global) (default
"replicated")
--mount mount Attach a filesystem mount to the service
--name string Service name
--network network Network attachments
--no-healthcheck Disable any container-specified HEALTHCHECK
--no-resolve-image Do not query the registry to resolve image digest
and supported platforms
--placement-pref pref Add a placement preference
-p, --publish port Publish a port as a node port
-q, --quiet Suppress progress output
--read-only Mount the container's root filesystem as read only
--replicas uint Number of tasks
--reserve-cpu decimal Reserve CPUs
--reserve-memory bytes Reserve Memory
--restart-condition string Restart when condition is met
("none"|"on-failure"|"any") (default "any")
--restart-delay duration Delay between restart attempts (ns|us|ms|s|m|h)
(default 5s)
--restart-max-attempts uint Maximum number of restarts before giving up
--restart-window duration Window used to evaluate the restart policy
(ns|us|ms|s|m|h)
--rollback-delay duration Delay between task rollbacks (ns|us|ms|s|m|h)
(default 0s)
--rollback-failure-action string Action on rollback failure ("pause"|"continue")
(default "pause")
--rollback-max-failure-ratio float Failure rate to tolerate during a rollback (default 0)
--rollback-monitor duration Duration after each task rollback to monitor for
failure (ns|us|ms|s|m|h) (default 5s)
--rollback-order string Rollback order ("start-first"|"stop-first")
(default "stop-first")
--rollback-parallelism uint Maximum number of tasks rolled back simultaneously
(0 to roll back all at once) (default 1)
--secret secret Specify secrets to expose to the service
--stop-grace-period duration Time to wait before force killing a container
(ns|us|ms|s|m|h) (default 10s)
--stop-signal string Signal to stop the container
-t, --tty Allocate a pseudo-TTY
--update-delay duration Delay between updates (ns|us|ms|s|m|h) (default 0s)
--update-failure-action string Action on update failure
("pause"|"continue"|"rollback") (default "pause")
--update-max-failure-ratio float Failure rate to tolerate during an update (default 0)
--update-monitor duration Duration after each task update to monitor for
failure (ns|us|ms|s|m|h) (default 5s)
--update-order string Update order ("start-first"|"stop-first") (default
"stop-first")
--update-parallelism uint Maximum number of tasks updated simultaneously (0
to update all at once) (default 1)
-u, --user string Username or UID (format: [:])
--with-registry-auth Send registry authentication details to swarm agents
-w, --workdir string Working directory inside the container
alpine イメージで ping を実行する helloworld というサービスを作ります。実行するコンテナ数は1個。
root@swarm1:~# docker service create --replicas 1 --name helloworld alpine ping docker.com nti2sn57ise7179iewt15bvkz overall progress: 1 out of 1 tasks 1/1: running verify: Service converged root@swarm1:~#
サービスの確認
root@swarm1:~# docker service ls ID NAME MODE REPLICAS IMAGE PORTS nti2sn57ise7 helloworld replicated 1/1 alpine:latest root@swarm1:~#
サービスのコンテナ(タスクと呼ぶらしい)を確認
root@swarm1:~# docker service ps helloworld ID NAME IMAGE NODE DESIRED STATE CURRENT STATE ERROR PORTS u2vgsm3uuu2i helloworld.1 alpine:latest swarm1 Running Running about a minute ago root@swarm1:~#
docker ps ではその node で実行されているコンテナだけが確認できます
root@swarm1:~# docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 02ad80ae8ec8 alpine:latest "ping docker.com" 2 minutes ago Up 2 minutes helloworld.1.u2vgsm3uuu2i1f4f70y3f3yhe root@swarm1:~#
service inspect は --pretty をつけると見やすい!!
root@swarm1:~# docker service inspect --pretty helloworld ID: nti2sn57ise7179iewt15bvkz Name: helloworld Service Mode: Replicated Replicas: 1 Placement: UpdateConfig: Parallelism: 1 On failure: pause Monitoring Period: 5s Max failure ratio: 0 Update order: stop-first RollbackConfig: Parallelism: 1 On failure: pause Monitoring Period: 5s Max failure ratio: 0 Rollback order: stop-first ContainerSpec: Image: alpine:latest@sha256:7b848083f93822dd21b0a2f14a110bd99f6efb4b838d499df6d04a49d0debf8b Args: ping docker.com Resources: Endpoint Mode: vip root@swarm1:~#
Scale の変更
サービスで実行するコンテナ数を増減させられます
root@swarm1:~# docker service scale helloworld=5 helloworld scaled to 5 overall progress: 5 out of 5 tasks 1/5: running 2/5: running 3/5: running 4/5: running 5/5: running verify: Service converged root@swarm1:~#
5つのコンテナに増えました
root@swarm1:~# docker service ps helloworld ID NAME IMAGE NODE DESIRED STATE CURRENT STATE ERROR PORTS u2vgsm3uuu2i helloworld.1 alpine:latest swarm1 Running Running 8 minutes ago udthnceo672p helloworld.2 alpine:latest swarm3 Running Running about a minute ago to5h2akq19tl helloworld.3 alpine:latest swarm1 Running Running 59 seconds ago jtnr25puybdb helloworld.4 alpine:latest swarm2 Running Running about a minute ago y8561et8m5e1 helloworld.5 alpine:latest swarm3 Running Running 59 seconds ago root@swarm1:~#
docker ps ではその node で実行されているコンテナだけが確認できます
root@swarm1:~# docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 7f828e94f492 alpine:latest "ping docker.com" About a minute ago Up About a minute helloworld.3.to5h2akq19tliyshxwe7enzyc 02ad80ae8ec8 alpine:latest "ping docker.com" 9 minutes ago Up 9 minutes helloworld.1.u2vgsm3uuu2i1f4f70y3f3yhe root@swarm1:~#
Service の削除
root@swarm1:~# docker service rm helloworld helloworld root@swarm1:~#
service はすぐに削除して見えなくなるが container は cleanup されるまで数秒残るため docker ps ではしばらく見えます
Rolling update
Rolling update の確認用に 3 コンテナの redis サービスを作成します。--update-delay で更新と更新の間の待ち時間を指定します。
root@swarm1:~# docker service create \ > --replicas 3 \ > --name redis \ > --update-delay 10s \ > redis:3.0.6 d97voxnq0jt74a7hlb1749ytt overall progress: 3 out of 3 tasks 1/3: running 2/3: running 3/3: running verify: Service converged root@swarm1:~#
root@swarm1:~# docker service ls ID NAME MODE REPLICAS IMAGE PORTS d97voxnq0jt7 redis replicated 3/3 redis:3.0.6 root@swarm1:~# docker service ps redis ID NAME IMAGE NODE DESIRED STATE CURRENT STATE ERROR PORTS po89kjashmcm redis.1 redis:3.0.6 swarm2 Running Running 29 seconds ago dg8cu0lz71t7 redis.2 redis:3.0.6 swarm3 Running Running 29 seconds ago sbs7yrrr3ct2 redis.3 redis:3.0.6 swarm1 Running Running 26 seconds ago root@swarm1:~#
デフォルトでは1コンテナずつ更新するが --update-parallelism でいくつ同時に更新するかを指定可能。
root@swarm1:~# docker service inspect --pretty redis ID: d97voxnq0jt74a7hlb1749ytt Name: redis Service Mode: Replicated Replicas: 3 Placement: UpdateConfig: Parallelism: 1 Delay: 10s On failure: pause Monitoring Period: 5s Max failure ratio: 0 Update order: stop-first RollbackConfig: Parallelism: 1 On failure: pause Monitoring Period: 5s Max failure ratio: 0 Rollback order: stop-first ContainerSpec: Image: redis:3.0.6@sha256:6a692a76c2081888b589e26e6ec835743119fe453d67ecf03df7de5b73d69842 Resources: Endpoint Mode: vip root@swarm1:~#
On failure が pause なので更新に失敗すると更新を中断(pause)します。
Update order, Rollback order が stop-first なのでまず、現在のコンテナを停止して新しいものを起動させます。
中断してしまった更新は docker service update CONTAINER-ID で再開できます。上記の redis サービスでは docker service update redis とします。
root@swarm1:~# docker service update --image redis:3.0.7 redis redis overall progress: 3 out of 3 tasks 1/3: running 2/3: running 3/3: running verify: Service converged root@swarm1:~#
root@swarm1:~# docker service ps redis ID NAME IMAGE NODE DESIRED STATE CURRENT STATE ERROR PORTS tak46phep0nr redis.1 redis:3.0.7 swarm2 Running Running 45 seconds ago po89kjashmcm \_ redis.1 redis:3.0.6 swarm2 Shutdown Shutdown 52 seconds ago i510owz0oag8 redis.2 redis:3.0.7 swarm3 Running Running about a minute ago dg8cu0lz71t7 \_ redis.2 redis:3.0.6 swarm3 Shutdown Shutdown about a minute ago trnsqcuxgrt9 redis.3 redis:3.0.7 swarm1 Running Running 24 seconds ago sbs7yrrr3ct2 \_ redis.3 redis:3.0.6 swarm1 Shutdown Shutdown 33 seconds ago root@swarm1:~#
Drain node
node をクラスタから外す際には docker node update で --availability drain とします。サービスで実行中のコンテナ(タスク)は他の node に移動してくれます。
Usage: docker node update [OPTIONS] NODE
Update a node
Options:
--availability string Availability of the node ("active"|"pause"|"drain")
--label-add list Add or update a node label (key=value)
--label-rm list Remove a node label if exists
--role string Role of the node ("worker"|"manager")
root@swarm1:~# docker node update --availability drain swarm2 swarm2 root@swarm1:~# docker node inspect --pretty swarm2 | head ID: 7h2d9guflr988w7r6eanuml1l Hostname: swarm2 Joined at: 2018-03-12 14:11:26.07479248 +0000 utc Status: State: Ready Availability: Drain Address: 10.130.39.87 Platform: Operating System: linux Architecture: x86_64 root@swarm1:~#
再度 docker node update で --availability active にすれば再度タスクが割り当てられるようになります。が、既に他の node で実行中のコンテナが移動されるわけではなく、scale コマンドや service update による更新、他の node を drain にしたり他の node 障害が発生した場合にタスクが移ってきます。
Routing mesh
サービス作成時に --publish (-p) オプションを指定すると、全 node の published port へアクセスするとコンテナにルーティングしてくれるようになります。
$ docker service create \ --name my-web \ --publish published=8080,target=80 \ --replicas 2 \ nginx
--publish published=8080,target=80 は -p 8080:80 でも ok
上記のコマンドではどの node の port 8080 にアクセスしても my-web コンテナの port 80 に転送してくれます。複数のコンテナに順に振り分けてくれます(ロードバランス)。アクセスした node 上で当該コンテナが起動してるかどうかに関係なく他の node であっても転送されます。
udp の場合は --publish published=53,target=53,protocol=udp (-p 53:53/udp) のように指定します。
--publish (-p) は複数指定可能なので複数ポート使うことができます。
mesh routing が不要な場合は --publish published=53,target=53,protocol=udp,mode=host のように mode=host を追加します。ただし、この場合はその node でポートがかぶらないように調整が必要となるため注意が必要です。このため通常は --mode global で各 node でひとつずつ実行するタイプのサービスで使用することになると思われます。
次回
次はもっと実践的なサービスを構築してみようかと思います。
